我正在为我的硕士论文研究身份验证和授权协议,我发现可能最好的两个替代方案是OpenID Connect和SAML 2.0(实际上,一个欧洲的,基于SAML的项目,我的公司在4年前参与了名为SENSEI的项目)。
本文的目的是扩展现有的物联网系统,该系统基本上是一个从数百万个传感器获取信息的流目录,并提供AAA(包括会计),将其转化为一个实际的流市场,人们可能会付费订阅一些流。
到目前为止,我认为OpenID Connect将是比Sensei和SAML更好的选择。原因是大量的信息、文档、库和支持该标准的公司。而且它对开发人员更友好。然而,我在这篇文章 中阅读了以下由OWASP编写的段落虽然OpenId占据了大部分消费者市场,但SAML通常是最重要的企业应用程序的选择。这样做的原因通常是很少有OpenId身份提供者被考虑企业类(即它们验证用户标识的方式)对企业标识没有很高的要求)。它是更常见的是在内部网网站中使用SAML,有时甚至使用内部网的服务器作为身份提供者。
所以我想知道您是否可以帮助我解决以下问题:
- 您是否也认为SAML可能更适合像我这样的企业项目?OpenID真的更以用户为导向吗?
- 我还必须考虑关于传感器的信任模型,以确保它们是可靠的信息来源。因此,您是否认为使用相同的协议是一个好主意:1)想要登录系统的用户和2)应该证明他们是可信来源的设备,具有非伪造的数据?
- 关于上一个问题,如果我可以使用OpenID连接设备,我如何使他们不需要电子邮件或密码进行身份验证?我在想UUID作为标识符,但我被告知这不是一个好主意,也在这个StackOverflow线程上阅读相同。
- 有谁知道是否存在任何众所周知的协议来处理或支持系统中的会计?据我所知,OpenID Connect支持会话管理,但不是100%的会计。
我不确定我能在这里回答你所有的问题…但根据我的经验和知识,我会尽力而为。我要说的是,你的问题有些模糊(也许你需要这样做,以免暴露你的十亿美元想法)。因此,我的回答确实(无可否认)更有可能被视为一个讨论点,而不是一个"答案"。
OIDC (OpenID Connect)是新的,IoT(物联网)也是。企业很少处于前沿,除非它们被一个更大的企业合作伙伴拖入其中。话虽如此,OIDC是建立在OAuth2.0之上的,所以它已经被理解了,企业真的处于接受阶段(IMO),许多购买的平台(像我公司的)支持它[当前草案-1]。
我认为需要指出的是SAML和OIDC都不是"身份验证"。这是一种基于标准的方法,通过这种方法,您可以将属性从身份验证点携带到需要知道连接到它的是谁或什么东西的应用程序点。你的用户可以用一种方式连接,你的"传感器"可以用另一种方式连接。或者两者都有。或者正好相反。如果你正在建立下一个价值万亿美元的社交媒体网站,你想限制用户加入的方式吗?
关于你关于OIDC和传感器的问题……我建议使用基于证书的身份验证系统,如果这些东西真的只是单独存在的话。但是,OIDC(和SAML)实际上并不是一个身份验证系统。它不做身份验证的"前线"——它提供了一种方法,通过该方法,可以根据与受信任的合作伙伴的验证声明将身份传递给依赖方。UUID可能是设备的"用户名"的一个不错的选择,但它肯定不应该是"密码"。 最后,我不太确定你对会计的要求是什么。你是否想通过微交易等方式向访问物联网设备流的用户收费(如果是的话,这是个有趣的概念)?同样,SAML和OIDC都没有提供这样的功能,至少据我所知是这样。会计(和计费)必须内置到应用程序中。HTH—Andy